test de sécurité interne méthodologie de gardien virtuel pour ses tsi

TEST DE SÉCURITÉ INTERNE
Vos employés peuvent-ils voler vos données ou endommager votre système informatique ?
Un test de sécurité interne (TSI) vous permettra de répondre à cette question. De plus, ce test permet de démasquer
les vulnérabilités menaçant vos actifs informationnels. Pour la portée du TSI, deux options se présentent à vous : le
test peut être réalisé « à l'aveugle » ou avec l'assistance de vos administrateurs.
Lors d'un test « à l'aveuglette », les experts de Gardien Virtuel se connectent directement sur votre réseau interne
et tentent de compromettre celui-ci. L'objectif principal des spécialistes de Gardien Virtuel est d'identifier les façons
de compromettre la confidentialité, l'intégrité et la disponibilité de vos informations et de vos équipements. Le TSI
peut aussi être effectué en collaboration avec les administrateurs de vos systèmes, c'est-à-dire que le client fournit
les accès (mots de passe par exemple) nécessaires pour accéder à vos systèmes. Nos experts ont alors le même
niveau d'accès que les employés et ils pourront rapidement trouver les failles que pourraient exploiter ces derniers.
Ce test permet par ailleurs de classer très facilement et rapidement les menaces. Suite au TSI, Gardien Virtuel vous
fournira un rapport détaillant les vulnérabilités trouvées sur vos systèmes. Ce rapport comportera aussi une liste de
recommandations pour mitiger les menaces trouvées et mettre au point des défenses pour votre système
d'information. En option, un rapport « VIP » pour votre comité de direction peut être rédigé afin, par exemple, de
venir compléter une démarche budgétaire. Ce rapport « VIP » explique en termes très peu techniques les tenants et
aboutissants, les risques et les impacts des failles recensées.
MÉTHODOLOGIE DE GARDIEN VIRTUEL POUR SES TSI
Étape 1 : Prise de connaissance et évaluation de l'environnement et du contexte
Les premiers éléments à réviser sont les politiques de sécurité. Celles-ci devraient décrire les objectifs de sécurité de
l'organisation et les moyens choisis pour atteindre ceux-ci. Gardien Virtuel pourra prendre connaissance de ces
documents afin de comparer la situation réelle de l'organisation et les objectifs de contrôle que celle-ci s'est fixée.
Gardien Virtuel utilise les normes ISO 27002 (17799) et COBIT comme guides de référence des bonnes pratiques et
pour l'évaluation des objectifs de contrôle.
Voici les principaux critères d'évaluation de l'environnement utilisés dans le TSI :
La ou les politiques de sécurité;
L'organisation de la sécurité de l'information;
Les contrôles et la classification des actifs informationnels (gestion des biens);
La sécurité liée aux ressources humaines;
La sécurité physique et environnementale;
La sécurité des opérations et des communications;
Les contrôles d'accès;
La gestion du développement et la maintenance des systèmes;
La gestion des incidents liés à la sécurité de l'information;
Les processus de continuité des affaires;
La conformité des pratiques de l'organisation.
Première entreprise certifiée ISO27001 au Canada
450.933.7774
WWW.GARDIENVIRTUEL.CA
Étape 2 : Balayage automatisé des ports
Cette étape est intrusive et peut être rapidement détectée compte tenu de la grande quantité de tentatives de
connexion générées. Tous les ports sont balayés (65535 ports TCP et autant en UDP), à la recherche des services
accessibles à partir d'ordinateurs distants. Ce type de balayage permet également de vérifier la configuration des
coupe-feu utilisés. À cette étape on obtient :
La liste complète des ports ouverts (chaque port ouvert est une entrée potentielle dans l'entreprise qui
pourrait devenir une éventuelle vulnérabilité);
L'identification des services et des logiciels actifs.;
La version des logiciels utilisés dans l'entreprise (dans le but de cibler les vulnérabilités présentes);
Des moyens de contourner le coupe-feu.
Étape 3 : Balayage automatisé des vulnérabilités
Ce second balayage va beaucoup plus en profondeur que
le premier et est par conséquent considéré comme très
intrusif. Non seulement cherche-t-il à identifier les services
qui lui sont accessibles, mais de plus, il tente de les percer
grâce à une liste exhaustive d’attaques reconnues.
Dépendant de vos désirs et besoins, les tests pouvant
entraîner une interruption de service peuvent être laissés
de côté. Une autorisation écrite explicite est nécessaire
pour que Gardien Virtuel exécute ceux-ci.
Étape 4 : Tests d'intrusion manuels
SOMMAIRE DES VULNÉRABILITÉS
Vulnérabilités /
Code de sévérité
Zone
Total
vuln.
0
1
2
3
4
STATIONS DE TRAVAIL
0
3
11
26
6
46
SERVICES / SERVEURS
0
26
39
26
6
97
TOTAUX
0
29 50 52
12
143
Le sommaire des vulnérabilités sera inclu dans le rapport final.
Suite aux résultats obtenus dans les étapes précédentes, des tests manuels seront réalisés. Les tests manuels sont
importants puisque certaines configurations ne posent pas un risque en elles-mêmes, mais lorsque combinées à
d'autres, elles peuvent avoir une incidence plus élevée. Ces configurations fournissent alors des moyens aux pirates
informatiques d'arriver à leurs fins. Voici une liste d'exemples de vérifications manuelles exécutées suite aux
vulnérabilités découvertes aux étapes précédentes :
Valider qu'il n'y ait pas de faux positifs, c'est-à-dire, déterminer que les vulnérabilités rapportées par les
outils sont réellement présentes;
Valider qu'il n'y ait pas de faux négatifs, c'est-à-dire, déterminer les vulnérabilités existantes qui n'ont pas
été découvertes par les logiciels de balayages automatisés;
Exploiter certaines vulnérabilités pour obtenir des accès supplémentaires permettant la découverte
d'autres vulnérabilités;
Rechercher de façon plus poussée pour découvrir des failles ou des problèmes rattachés aux applications
et aux systèmes informatiques qui nécessitent une attention particulière.
Étape 5 : Analyse de l'architecture et des choix technologiques
Chaque organisation possède une culture d'entreprise qui lui est propre. Les choix technologiques reflètent cette
culture. Nous procéderons à une évaluation des configurations, mais aussi des forces et faiblesses de
l'architecture technologique, de sa mise en place et de sa gestion. Gardien Virtuel procédera également à une
évaluation des risques liés aux composantes réseaux et à leurs supports, tels que :
Vérification des règles de filtrage des coupe-feu;
Évaluation des restrictions et séparation des réseaux;
Évaluation des restrictions et permission de protocoles tels que définis dans la politique de sécurité;
Vérification du contrôle des accès et de l'authentification des utilisateurs, des tentatives d'obtenir des
mots de passe et de la possibilité d'attaques par rejeu (« replay »);
Validation des protocoles utilisés pour la gestion réseau tels que NTP, SMB, SNMP, etc.;
Évaluation des systèmes de surveillance, des journaux d'événements système, ainsi que la protection
utilisée pour protéger ceux-ci.
Avez-vous besoin d'évaluer la résistance de votre système d'information ?
Contactez-nous dès aujourd'hui pour une évaluation gratuite de vos besoins !
Première entreprise certifiée ISO27001 au Canada
450.933.7774
WWW.GARDIENVIRTUEL.CA